باگ اینستاگرام، مشاهده تصاویر و اطلاعات کاربران بدون نیاز به دنبال کردن آنها!
اخبار داغ فناوری اطلاعات و امنیت شبکه
اینستاگرام یک نقص جدید را ظاهرا اصلاح کرده است که به هر شخصی این امکان را می دهد پست های آرشیو شده و استوری های آپلود شده توسط حساب های خصوصی و پرایوت را بدون نیاز به دنبال کردن آنها، مشاهده نماید.
مایور فرتاد امروز در یک پست روزانه اعلام کرد: "این اشکال می توانست به کاربر خرابکار امکان مشاهده محتوای کاربر هدف در اینستاگرام را بدهد. مهاجم می توانست جزئیات پست های خصوصی و بایگانی شده، استوری ها، ریلز و IGTV را بدون نیاز به دنبال کردن کاربر با استفاده از Media ID مشاهده کند.
مایور فرتاد این موضوع را در تاریخ 16 ماه آپریل سال2021 برای تیم امنیتی فیسبوک فاش کرد و به دنبال آن، این نقص به تازگی و در 15 ماه ژوئن برطرف گردیده است. وی همچنین به عنوان بخشی از برنامه جایزه اشکال یابی این شرکت، مبلغ 30،000 دلار جایزه دریافت نمود.
اگرچه این حمله مستلزم دانستن شناسه رسانه ای (Media ID) مرتبط با یک تصویر ، ویدئو یا آلبوم است، اما با بهره گیری بی وقفه از شناساگرها، مایور فرتاد نشان داد که می توان درخواست POST را برای اندپوینت (Endpoint) GraphQL ساخته و داده های حساس را بازیابی کرد.
در نتیجه این نقص، مهاجم جزئیاتی از قبیل like/comment/save count ،display_url و image.uri مربوط به شناسه رسانه را می توانست حتی بدون دنبال کردن کاربر مورد نظر استخراج کرده و در کنار آن نیز صفحه فیسبوک مرتبط و لینک شده با یک حساب اینستاگرام را کشف و مشاهده نماید.
فرتاد افزود که وی همچنین در 23 ماه آوریل اندپوینت دومی را کشف کرده است که همان مجموعه اطلاعات کاربری را فاش مینموده است. فیسبوک از آن زمان تا به اکنون هر دو اندپوینت نشت یافته را اصلاح کرده است.
برچسب ها: شناسه رسانه ای, اندپوینت, استوری, GraphQL, Reels, Story, IGTV, Media ID, Facebook, cybersecurity, Endpoint, Instagram, اینستاگرام, فیسبوک, امنیت سایبری, Cyber Attacks, حمله سایبری